Qu’est-ce que la prise de décision automatisée?
La prise de décision automatisée signifie qu’un système prend une décision concernant une personne sans aucune intervention humaine significative. Pensez à un logiciel qui rejette automatiquement une demande de prêt sur la base d’un score de crédit, ou à un algorithme qui filtre des candidats avant que quiconque n’examine leur CV.
L’article 22 du RGPD donne aux personnes le droit de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé - y compris le profilage - produisant des effets juridiques ou des effets significatifs similaires les concernant.
Les mots clés sont “uniquement” et “effets juridiques ou significatifs similaires.” Les deux conditions doivent être remplies pour que l’article 22 s’applique.
Profilage vs prise de décision automatisée
Ces deux concepts sont liés mais différents.
Le profilage est l’analyse automatisée de données personnelles pour évaluer certains aspects d’une personne - ses performances professionnelles, sa situation économique, sa santé, ses préférences personnelles, sa fiabilité, son comportement ou sa localisation.
La prise de décision automatisée consiste à agir sur cette analyse sans intervention humaine.
Le profilage seul n’est pas interdit par l’article 22. Vous pouvez utiliser des analyses pour segmenter vos clients ou évaluer des prospects. La restriction entre en jeu lorsque vous utilisez ce profilage pour prendre une décision qui a des effets juridiques ou significatifs - et qu’aucun humain n’est impliqué de manière significative.
Quand l’article 22 s’applique-t-il?
L’article 22 s’applique lorsque les trois conditions sont réunies:
- La décision est fondée uniquement sur un traitement automatisé (pas d’examen humain significatif)
- Le traitement comprend du profilage ou une analyse automatisée
- La décision produit des effets juridiques ou des effets significatifs similaires
| Scenario | Entièrement automatisé? | Effet significatif? | Article 22 applicable? |
|---|---|---|---|
| Demande de prêt automatiquement rejetée par un algorithme de scoring | Oui | Oui - accès au crédit refusé | Oui |
| IA qui filtre les CV et rejette automatiquement des candidats | Oui | Oui - opportunité d’emploi refusée | Oui |
| Prime d’assurance entièrement déterminée par un algorithme de profilage des risques | Oui | Oui - impact financier | Oui |
| Détection de fraude qui bloque automatiquement un compte bancaire | Oui | Oui - accès aux fonds refusé | Oui |
| Moteur de recommandation de produits qui suggère des articles | Oui | Non - pas d’effet juridique ou significatif | Non |
| IA qui filtre les CV, mais un recruteur prend la décision finale | Non | N/A - humain dans le processus | Non |
| Personnalisation de contenu sur un site web | Oui | Non - pas d’effet significatif | Non |
| ChatGPT rédige une lettre qu’une personne examine et envoie | Non | N/A - l’humain prend la décision | Non |
Trois exceptions où les décisions automatisées sont autorisées
Même lorsque l’article 22 s’appliquerait normalement, la prise de décision automatisée est permise dans trois cas:
1. Nécessité contractuelle
La décision automatisée est nécessaire à la conclusion ou à l’exécution d’un contrat avec la personne. Par exemple, une décision de crédit instantanée pour un achat en ligne, ou un examen manuel rendrait le service impraticable.
2. Autorisée par la loi
Le droit de l’UE ou d’un État membre autorise explicitement la prise de décision automatisée. La loi doit inclure des garanties appropriées pour les droits de la personne.
3. Fondée sur le consentement explicite
La personne a donné son consentement explicite à la prise de décision automatisée. Ce consentement doit être spécifique, éclairé et librement donné - pas enfoui dans les conditions générales.
Garanties requises - même avec les exceptions
Même lorsqu’une des trois exceptions s’applique, vous devez toujours fournir ces garanties:
- Droit à l’intervention humaine - la personne peut demander qu’un être humain revoie la décision
- Droit d’exprimer son point de vue - la personne peut expliquer sa situation
- Droit de contester la décision - la personne peut remettre en cause le résultat
Vous ne pouvez pas non plus utiliser la prise de décision automatisée basée sur des catégories spéciales de données (santé, origine ethnique, opinions politiques, etc.), sauf si vous disposez d’un consentement explicite ou d’une base d’intérêt public majeur avec des garanties appropriées.
Quand une AIPD est-elle requise?
Une Analyse d’Impact relative à la Protection des Données (AIPD) est requise lorsque la prise de décision automatisée crée un risque élevé. Cela inclut généralement:
- Le profilage systématique avec des effets significatifs sur les personnes
- Le traitement automatisé à grande échelle de données personnelles
- La combinaison de jeux de données de manières que les personnes ne pourraient pas raisonnablement prévoir
- Le traitement de données sensibles via des systèmes automatisés
Si vous utilisez des outils IA pour évaluer, noter ou catégoriser des personnes, une AIPD est presque certainement requise.
Ce que cela signifie en pratique pour votre entreprise
Si vous dirigez une PME et utilisez des outils IA ou des systèmes automatisés, voici ce qu’il faut vérifier:
Étape 1: Cartographiez vos processus automatisés
Listez chaque outil ou système qui prend des décisions concernant des personnes. Incluez les outils de recrutement, les vérifications de crédit, la détection de fraude, le scoring client et toute automatisation alimentée par l’IA.
Étape 2: Vérifiez si un humain est impliqué de manière significative
Un humain “dans le processus” ne compte que s’il examine véritablement la décision et a l’autorité de la modifier. Valider automatiquement la sortie d’un algorithme n’est pas un examen humain significatif.
Étape 3: Évaluez les effets
Le processus automatisé produit-il des effets juridiques (refus de contrat, résiliation de service) ou des effets significatifs similaires (impact financier, opportunité refusée)? Si oui et qu’aucun humain n’est impliqué, l’article 22 s’applique.
Étape 4: Mettez en place des garanties
Pour tout processus où l’article 22 s’applique:
- Ajoutez un véritable examen humain avant les décisions finales
- Créez une procédure permettant aux personnes de contester les décisions
- Documentez votre base juridique (contrat, loi ou consentement explicite)
- Informez les personnes que la prise de décision automatisée a lieu
- Incluez ces informations dans votre politique de confidentialité
Étape 5: Envisagez une AIPD
Si le traitement implique du profilage avec des effets significatifs, réalisez une AIPD avant de commencer.
Erreurs courantes
- Supposer que “un humain clique sur approuver” est un examen significatif - la personne doit réellement évaluer le dossier, pas simplement confirmer la recommandation du système
- Oublier d’informer les personnes - votre politique de confidentialité doit expliquer la prise de décision automatisée, la logique utilisée et les conséquences potentielles
- Utiliser des outils IA sans considérer l’article 22 - si un outil IA prend des décisions concernant des personnes pour vous, les obligations du RGPD s’appliquent toujours à votre entreprise
- Ignorer la transparence sur le profilage - même lorsque l’article 22 ne s’applique pas, vous devez être transparent sur le profilage dans votre politique de confidentialité en vertu des articles 13 et 14
GDPRWise analyse votre configuration de confidentialité et identifie où les règles de prise de décision automatisée peuvent s'appliquer à votre entreprise.